La Agencia Española de Protección de Datos (AEPD) ofrece en su sitio web un espacio sobre el tratamiento de los datos en materia de salud.
Según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), estos datos se consideran de categoría especial, por lo que su tratamiento solo es legítimo bajo condiciones específicas.
En este ámbito, es necesario diferenciar entre el “consentimiento informado” para una actuación sanitaria (que se rige por la legislación sanitaria) y el consentimiento para el tratamiento de los datos personales, incluidos los de salud. Contrario a lo que suele pensarse, el consentimiento del paciente no es siempre obligatorio. El artículo 9.2 del RGPD permite el tratamiento de datos de salud sin consentimiento cuando sea necesario para la asistencia sanitaria, fines de medicina preventiva o laboral o un diagnóstico médico. En estos casos, la legitimación se basa en el interés público en el ámbito de la salud pública o en la relación contractual entre el profesional sanitario y el paciente.
Asimismo, existen otras bases jurídicas, como la protección de intereses vitales, aplicable en situaciones de emergencia donde el paciente no pueda dar su consentimiento. También se permite el tratamiento de datos en procesos judiciales o cuando lo exige la legislación en materia de salud pública.
El tratamiento de datos personales abarca su recopilación, uso, acceso, comunicación, almacenamiento, modificación, cesión a terceros y eliminación.